הגדרה ל-GKE

בדף הזה מוסבר איך להגדיר אכיפה של Binary Authorization בסביבה שלכם לשימוש עם Google Kubernetes Engine‏ (GKE). אפשר להגדיר את Binary Authorization באמצעות מסוף Google Cloud או Google Cloud CLI. אפשר גם לבצע כמה שלבי הגדרה באמצעות API בארכיטקטורת REST של Binary Authorization.

מדריך מקיף שכולל את שלבי ההגדרה הבאים זמין במאמרים תחילת העבודה עם Google Cloud CLI או תחילת העבודה עם מסוף Google Cloud .

כדי להגדיר Binary Authorization, בצעו את השלבים הבאים:

1. מפעילים את Binary Authorization.

2. יוצרים אשכול עם Binary Authorization מופעל או מפעילים Binary Authorization באשכול קיים.

3. מגדירים את המדיניות של Binary Authorization.

   אפשר להגדיר את התכונות הבאות במדיניות:

   • כלל ברירת המחדל.
   • כללים ספציפיים לאשכול.
   • כללים ספציפיים לזהות או למרחב השמות של שירות Kubernetes.
   • תמונות שפטורות מהדרישה. מידע נוסף על תמונות שפטורות מהדרישה

4. אופציונלי: אם יש לכם פרויקטים שונים Google Cloud שהם הבעלים של המדיניות או של מאגרי Container Registry, צריך להעניק את תפקידי ה-IAM שנדרשים לגישה בין פרויקטים. הוראות מפורטות זמינות במאמר הגדרת גישה בין פרויקטים ל-Binary Authorization ב-GKE.

5. אופציונלי: אפשר להשתמש בbuilt-by-cloud-build גורם מאמת (attestor) כדי לפרוס רק קובצי אימג' שנוצרו על ידי Cloud Build.

6. אופציונלי: שימוש באישורים.

7. פריסת קובצי אימג' של קונטיינרים.

8. צפייה באירועים ביומני הביקורת של Cloud